Lo sviluppatore di SafeWallet ha pubblicato un report post-mortem che descrive nel dettaglio l'exploit di cybersecurity che ha portato all'hacking da 1,4 miliardi di dollari ai danni di Bybit nel mese di febbraio.

Secondo l'analisi forense condotta da SafeWallet e dalla società di cybersecurity Mandiant, il gruppo di hacker ha dirottato i token di sessione Amazon Web Services (AWS) di uno sviluppatore di Safe per aggirare le misure di sicurezza di autenticazione multi-fattore messe in atto dall'azienda.

Le impostazioni AWS di SafeWallet richiedevano ai membri del team di riautenticare i loro token di sessione AWS ogni 12 ore, il che ha spinto il gruppo di hacker a tentare una violazione registrando un dispositivo di autenticazione multifattoriale (MFA).

Dopo diversi tentativi falliti di registrare un dispositivo MFA, gli hacker hanno compromesso il sistema MacOS di uno sviluppatore, probabilmente attraverso un malware installato sul sistema, e sono stati in grado di utilizzare i token di sessione AWS mentre le sessioni dello sviluppatore erano attive.

Una volta ottenuto l'accesso, gli hacker hanno lavorato all'interno dell'ambiente Amazon Web Services per organizzare l'attacco.

Cybercrime, North Korea, Cybersecurity, Hacks, Bybit, Lazarus Group

Una cronologia dell'exploit di sicurezza dello sviluppatore di Safe. Fonte: Safe

L'analisi forense di Mandiant ha inoltre confermato che gli hacker erano attori di Stato della Corea del Nord che hanno impiegato 19 giorni per preparare ed eseguire l'attacco.

L'ultimo aggiornamento ha ribadito che l'exploit di cybersecurity non ha colpito gli smart contract di Safe e ha aggiunto che il team di sviluppo di Safe ha messo in atto ulteriori misure di sicurezza dopo quello che è stato in assoluto il più grande hack nella storia delle crypto.

Correlato: CertiK: Con hack di Bybit, a febbraio le crypto perse a causa di exploit e truffe raggiungono $1,5 miliardi

L'FBI lancia un allarme mentre gli hacker di Bybit riciclano fondi

Il Federal Bureau of Investigation (FBI) degli Stati Uniti ha pubblicato un avviso online chiedendo agli operatori dei nodi di bloccare le transazioni provenienti da indirizzi wallet collegati agli hacker nordcoreani, che secondo l'FBI sarebbero stati riciclati e convertiti in valuta fiat.

Cybercrime, North Korea, Cybersecurity, Hacks, Bybit, Lazarus Group

L'FBI lancia un allarme sugli hacker nordcoreani dietro l'attacco di Bybit. Fonte: FBI

Da allora, gli hacker di Bybit hanno riciclato il 100% delle crypto rubate, che comprendono quasi 500.000 token collegati a Ether, in soli 10 giorni.

Il 4 marzo il CEO di Bybit, Ben Zhou, ha dichiarato che circa il 77% dei fondi, per un valore stimato di 1,07 miliardi di dollari, è ancora rintracciabile onchain, mentre circa 280 milioni di dollari sono scomparsi.

Tuttavia, Deddy Lavid, CEO della società di cybersecurity Cyvers, ha dichiarato che i team di sicurezza informatica potrebbero ancora essere in grado di rintracciare e congelare alcuni dei fondi rubati.